Initiële veilige serverconfiguratie van Ubuntu 18.04

• Invoering
• Vereisten
• Maak en wijzig een gebruiker
• Genereer en configureer een SSH-sleutel
• Stel een eenvoudige firewall in

Invoering

In deze zelfstudie leert u hoe u een basisbeveiligingsniveau configureert op een gloednieuwe Vultr VC2 virtuele machine met Ubuntu 18.04.

Vereisten

• Een Vultr account hebt, kunt u er een maken hier
• Een nieuwe Ubuntu 18.04 Vultr VM

Maak en wijzig een gebruiker

Het eerste dat we gaan doen, is onze nieuwe gebruiker maken die we zullen gebruiken om in te loggen op de VM:

adduser porthorian

Opmerking: het wordt aanbevolen om een ​​unieke gebruikersnaam te gebruiken die moeilijk te raden is. De meeste bots in gebreke zal blijven om te proberen root, admin, moderator, en dergelijke.

U wordt hier om een ​​wachtwoord gevraagd. Het wordt sterk aanbevolen om een ​​sterk alfanumeriek wachtwoord te gebruiken. Daarna volgt u de aanwijzingen op uw scherm en wanneer u wordt gevraagd of de informatie juist is, drukt u gewoon op Y.

Zodra die nieuwe gebruiker is toegevoegd, moeten we die gebruiker sudo-machtigingen geven, zodat we namens de rootgebruiker opdrachten van de gebruiker kunnen uitvoeren:

usermod -aG sudo porthorian

Nadat u uw gebruiker sudo-machtigingen heeft gegeven, schakelt u over naar uw nieuwe gebruiker:

su - porthorian

Genereer en configureer een SSH-sleutel

Volg dit document om de SSH-sleutel te genereren .

Zodra u uw nieuwe SSH-sleutel heeft gegenereerd, kopieert u uw openbare sleutel. Het zou er als volgt uit moeten zien:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAmB3uRWxAAELNJ8oGBCBmZx7S11vnAp0RG8rdKf6CLdvT7NMbKF55F8Wf0hFPewEryplaH54ibdmaTuheJVKy1lUhHnVi0AcBpkhJiiOQdEtvbYKT/eIkQl/Qm92Gz6aL3lJ0UknO4gO0LzgqI2vYX0b9LHMF+ZvApEDahLCna6RKo3/lffnANUKfExE+dVwOcJwATL3Ld5IkSatm7zBqbJAim0wj/JQ5ejzkL+aYd3YawpW3qf+WsY3HGbK2TIJt3LsiZJ3M7giZo/fVIZCJqsIOyO9NUOEx5/+KE8IniGb7gdRYgquAEJr89poDCNz/8CBODi9z3ukiE1+UnVlhfQ== rsa-key-20190408

Configureer uw gebruikersmap

Navigeer naar de homedirectory van uw gebruikers als u er nog niet in zit:

cd $HOME

$HOMEis de omgevingsvariabele voor de homedirectory van uw gebruikers. Dit wordt automatisch ingesteld wanneer de nieuwe gebruiker wordt aangemaakt.

In onze homedirectory gaan we een andere directory erin plaatsen. Deze directory wordt verborgen voor andere gebruikers op de computer, behalve root en de gebruiker die eigenaar is van de directory. Maak de nieuwe map en beperk de rechten met de volgende opdrachten:

mkdir ~/.ssh
chmod 700 ~/.ssh

Nu gaan we een bestand openen in .sshgenaamd authorized_keys. Dit is het universele bestand waarnaar OpenSSH op zoek is. U kunt de naam hiervan wijzigen in de OpenSSH-configuratie /etc/ssh/sshd_config, indien nodig.

Gebruik je favoriete editor om het bestand te maken. Deze tutorial gebruikt nano:

nano ~/.ssh/authorized_keys

Kopieer en plak uw ssh-sleutel in het authorized_keysbestand dat we hebben geopend. Zodra de openbare sleutel binnen is, kunt u het bestand opslaan door op CTRL+ te drukken O.

Zorg ervoor dat het juiste bestandspad verschijnt:

/home/porthorian/.ssh/authorized_keys

Als het het juiste bestandspad is, drukt u gewoon op ENTER, anders brengt u de nodige wijzigingen aan om overeen te komen met het bovenstaande voorbeeld. Sluit het bestand vervolgens af met CTRL+ X.

Nu gaan we de toegang tot het bestand beperken:

chmod 600 ~/.ssh/authorized_keys

Sluit onze gemaakte gebruiker af en ga terug naar de rootgebruiker:

exit

Wachtwoordverificatie uitschakelen

We kunnen nu wachtwoordverificatie naar de server uitschakelen, op die manier heeft inloggen een ssh-sleutel nodig. Het is belangrijk op te merken dat als u wachtwoordverificatie uitschakelt en de openbare sleutel niet correct is geïnstalleerd, u uzelf van uw server kunt uitsluiten. Het wordt aanbevolen dat u de sleutel eerst test voordat u zich zelfs afmeldt bij uw rootgebruiker.

We zijn momenteel ingelogd op onze root-gebruiker, dus we gaan de sshd_config:

nano /etc/ssh/sshd_config

We gaan op zoek naar 3 waarden om er zeker van te zijn dat OpenSSH correct is geconfigureerd.

• PasswordAuthentication
• PubkeyAuthentication
• ChallengeResponseAuthentication

We kunnen deze waarden vinden door op CTRL+ te drukken W.

De waarden moeten als volgt worden ingesteld:

PasswordAuthentication  no
ChallengeResponseAuthentication  no
PubkeyAuthentication  yes

Als de waarden zijn gemarkeerd, verwijder dan de #aan het begin van de regel en zorg ervoor dat de waarden van die variabelen zijn zoals hierboven weergegeven. Zodra u deze variabelen zijn veranderd, op te slaan en uw redacteur, met CTRL+ O, ENTERen ten slotte CTRL+ X.

Nu gaan we herladen sshdmet de volgende opdracht:

systemctl reload sshd

Nu kunnen we de login testen. Zorg ervoor dat je je nog niet hebt afgemeld bij je root-sessie en open een nieuw ssh-venster en maak verbinding met je ssh-sleutel die aan de verbinding is gekoppeld.

In PuTTY staat dit onder Connection-> SSH-> Auth.

Blader om uw privésleutel voor verificatie te vinden, zoals u deze had moeten opslaan bij het maken van de ssh-sleutel.

Maak verbinding met uw server met de privésleutel als authenticatie. U wordt nu aangemeld bij uw Vultr VC2 virtuele machine.

Opmerking: als u een wachtwoordzin hebt toegevoegd tijdens het genereren van de ssh-sleutel, wordt u om een ​​wachtwoord gevraagd. Dit is totaal anders dan het wachtwoord van uw daadwerkelijke gebruiker op de virtuele machine.

Stel een eenvoudige firewall in

Configureer UFW

Eerst beginnen we met het installeren van UFW als dit nog niet op de virtuele machine staat. Een goede manier om te controleren is met de volgende opdracht:

sudo ufw status

Als UFW is geïnstalleerd, wordt deze uitgevoerd Status:inactive. Als het niet is geïnstalleerd, wordt u geïnstrueerd om dit te doen.

We kunnen het installeren met deze opdracht:

sudo apt-get install ufw -y

Nu gaan we de SSH-poort 22in onze firewall toestaan :

sudo ufw allow 22

Als alternatief kunt u OpenSSH toestaan:

sudo ufw allow OpenSSH

Een van de bovenstaande opdrachten werkt.

Nu we de poort via onze firewall hebben toegestaan, kunnen we UFW inschakelen:

sudo ufw enable

U wordt gevraagd of u zeker weet dat u deze bewerking wilt uitvoeren. Door te typen ygevolgd door ENTERwordt de firewall ingeschakeld:

porthorian@MEANStack:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation? y

Opmerking: als je OpenSSH of poort 22 niet hebt toegestaan, sluit je jezelf af van je virtuele machine. Zorg ervoor dat een van deze is toegestaan ​​voordat UFW wordt ingeschakeld.

Zodra de firewall is ingeschakeld, blijft u verbonden met uw instantie. We gaan onze firewall nu dubbel controleren met dezelfde opdracht als voorheen:

sudo ufw status

U ziet iets dat lijkt op de volgende uitvoer:

porthorian@MEANStack:~$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

De Vultr-firewall configureren

Om onze server verder te beveiligen gaan we onze Vultr Firewall gebruiken. Log in op uw account . Eenmaal ingelogd, navigeert u naar het firewall-tabblad bovenaan uw scherm:

Nu gaan we een nieuwe firewallgroep toevoegen. Hierdoor kunnen we specificeren welke poorten zelfs onze UFW-firewall kunnen bereiken, wat ons een dubbele beveiligingslaag biedt:

Vultr zal u nu vragen hoe u uw firewall gaat noemen met behulp van het veld "Beschrijving". Zorg ervoor dat u beschrijft wat de servers onder deze firewallgroep zullen doen, voor eenvoudiger toekomstig beheer. Omwille van deze tutorial gaan we het een naam geven test. U kunt de beschrijving later altijd wijzigen als u dat wilt.

Eerst moeten we ons IP-adres krijgen. De reden dat we dit direct doen, is dat als uw IP-adres niet statisch is en voortdurend verandert, u eenvoudig kunt inloggen op uw Vultr-account en het IP-adres kunt wijzigen.

Dat is ook de reden waarom we het IP-adres niet nodig hadden op de UFW-firewall. Bovendien beperkt het het gebruik van de firewall van uw virtuele machine om alle andere poorten uit te filteren en laat het de Vultr-firewall het gewoon afhandelen. Dit beperkt de belasting van de algehele verkeersfiltering op uw instantie.

Gebruik het netwerkkijkglas van Vultr om uw IP-adres te vinden.

Dus nu we ons IP-adres hebben, gaan we een IPV4-regel toevoegen aan onze nieuw gemaakte firewall:

Zodra u het IP-adres heeft ingevoerd, klikt u op het +symbool om uw IP-adres toe te voegen aan de firewall.

Uw firewallgroep ziet er als volgt uit:

Nu we ons IP-adres correct hebben ingebonden in de Firewall-groep, moeten we onze Vultr-instantie koppelen. Aan de linkerkant ziet u een tabblad met de tekst "Gekoppelde instanties":

Eenmaal op de pagina ziet u een vervolgkeuzelijst met een lijst van uw serverinstanties:

Klik op de vervolgkeuzelijst en selecteer uw instantie. Klik vervolgens op het +symbool wanneer u klaar bent om de instantie aan de firewallgroep toe te voegen .

Gefeliciteerd, je hebt je Vultr VC2 Virtual Machine succesvol beveiligd. Dit geeft u een goede basis voor een zeer eenvoudige beveiligingslaag zonder dat u zich zorgen hoeft te maken dat iemand uw instantie bruut probeert te forceren.